Se qualcuno ruba il mio portatile mentre sono connesso, come posso proteggere il mio browser?

Isn't this true and ironic? We place so much emphasis on browser security and OS security -- and rightly so -- yet if I step away for a minute while my browser is open, ...

Come ho precedentemente indicato in un altro post che cita questo fumetto, il problema è che fondamentalmente, se si lascia lo schermo sbloccato, il sistema operativo non ha modo di dire che la persona che sta digitando e facendo clic non è in realtà tu. Ti ha già autenticato e per ora controlla solo che sei autorizzato.

"Tu" sei completamente autorizzato a cambiare lo stato di Facebook in "Sono un pazzo" inserendo le "tue" imprecazioni di scelta!

C'è una soluzione a questo: costringere l'utente a rianalizzarsi periodicamente. Sfortunatamente, per proteggermi dal caso di "Sono uscito dalla porta principale (lontano dal mio portatile) lasciandolo sbloccato e aperto (non bloccavo lo schermo)" avresti essenzialmente bisogno di qualcosa che assomigliava a UAC su LSD - "per favore inserisci la tua password per copiare quel file e ancora per rinominarlo e ancora per aprirlo "e così via.

Tuttavia ...

and I come back and my computer is gone, basically all my online accounts are hosed.

Questo è non del tutto vero . Dipende davvero dall'account web in questione. Per molti account, mentre non è necessario eseguire nuovamente l'autenticazione per eseguire azioni dannose per la reputazione, esistono alcune difese:

• Le sessioni dell'account non vengono mantenute indefinitamente, per questo motivo. Dopo una certa quantità di inattività, gli account di solito scadono.
• La modifica delle proprietà degli account sensibili, come la password dell'account o le impostazioni critiche, può richiedere la rianalisi.

Or are there features to close a browsing session remotely -- including clear cookies -- in any of the major browsers, most of which I know can sync this data between devices?

Non uso la sincronizzazione del browser, ma sospetto che la risposta sia come sempre - contro un attaccante sufficientemente sofisticato, questo non sarebbe di aiuto.

Tuttavia, c'è ancora una speranza. Alcuni servizi web utilizzano chiavi API o equivalenti per autenticare le macchine, quindi puoi invalidare ad esempio il tuo account Dropbox su quel sistema. Le "password per le applicazioni" di Google Apps sono un altro buon esempio di questo.

which lock the browser itself after a certain amount of time or my computer goes to sleep/standby, where I have to authenticate to resume my session?

Non sono sicuro di cosa potrebbe essere il blocco del browser. Per mettere questo in contesto, il vettore di attacco in questo caso è "qualcuno che non sei tu, ma completamente autenticato come te". È quasi impossibile costruire difese contro.

In effetti, il punto del fumetto, secondo cui "potrebbero fare tutto ma arrivare alla radice" non veramente si applica a questo vettore di attacco. Per i principianti, l'accesso fisico probabilmente ti permetterà di arrivare a root in un modo o nell'altro, ma soprattutto quelle difese sono di proteggere le applicazioni che sono autenticate come te e che sono state compromesse da ulteriori compromissioni del sistema in modo automatico - questo è particolarmente rilevante quando non sei l'unico utente del sistema.

Esiste un enorme argomento che in realtà richiede un ulteriore isolamento a livello desktop tra le singole applicazioni per un singolo utente - ad es. tra le schede del browser come la sandbox chromium , i livelli separati di Window che non possono interagire, ad es. UIPI , applicazioni completamente isolate tramite hypervisor, ad es. Qubes . Ci sono persone che costruiscono sandbox su Linux, ad es. 1 2 3 . Puoi sandbox Windows ulteriormente con say Sandboxie .

Tutte queste piccole e precise soluzioni per il malware infettano-il-tuo-browser-scheda-ma-sono-isolate-dalla-tua-banca-sessione non possono proteggerti da "te stesso". Il dispositivo di input è ancora completamente affidabile una volta sbloccato il gui "trusted".

La miglior difesa che puoi davvero offrirti è già stata menzionata:

• Blocca lo schermo.
• Cripta il tuo disco.

Come è stato notato, non sei completamente sicuro contro gli attacchi a freddo, ma sospetto che un ladro casuale non sia in grado di implementarlo con successo.

Richiede una password quando lo screensaver si accende. Fai in modo che lo screensaver si accenda dopo 5 minuti. Ho anche usato una piccola utility (BtProx) che usa il Bluetooth per determinare se sei vicino. Quando vai via con il telefono, blocca il computer. Puoi anche usare qualcosa come LemonScan che usa la tua webcam per determinare se stai usando il tuo computer e lo blocca quando ti allontani.

Utilizza la crittografia del disco come TrueCrypt sul volume di sistema in modo che, una volta riavviata la macchina, l'utente non possa rientrare.

Se non si cripta il volume di sistema e si cripta semplicemente un'unità contenente il profilo del browser, è necessario disattivare l'ibernazione in modo che la password TrueCrypt non venga salvata su disco e ciò consente di recuperarlo facilmente.

È comunque opportuno non eseguire l'amministratore sul tuo computer. Se hai effettuato l'accesso come amministratore, un passante potrebbe installare key-logging e trojan sulla tua macchina e probabilmente fare più danni che rubare il tuo computer.

L'utilizzo di OpenID o Google per l'autenticazione centrale ti consente di disabilitare l'accesso ai siti che utilizzano OpenID per l'autenticazione.

Bene, la soluzione migliore sarebbe quella di bloccare il laptop prima di andare tramite un'interfaccia per lo screensaver o piccole utility (come "slock"). In questo modo, anche se il laptop viene rubato, il malvagio dovrà riavviarlo e affrontare lo stesso problema con il login. Ovviamente questo non è un problema per ottenere la root (nel caso sia linux) ma poi i dati dell'utente (come login dropbox o password salvate in firefox) rimarranno intatti.

EDIT: sebbene la root possa cambiare la password dell'utente e quindi l'account utente è fregato. Quindi l'unica soluzione qui sarebbe quella di creare uno script che cancella i dati sensibili dopo un paio di accessi non riusciti. Può essere pericoloso se ci sono bambini in giro.

È possibile utilizzare la navigazione privata e prima di lasciare il laptop chiudere la finestra del browser che contiene informazioni riservate.

link

USB collegato al polso. (Overkill)

Esegui temporaneamente un intero sistema operativo da una chiavetta USB. Quando si desidera effettuare il login, chiudere la compilazione, inserire la chiavetta USB, caricarla, accedere ai propri account, al termine, disconnettersi, spegnere il computer, scollegare la chiavetta USB. Nessuna traccia (che porta ad analisi credenziali), facile da distruggere, facile da nascondere ... Sicuro?

• Aggiunta di un modulo jumper sul chip USB all'interno della shell dell'unità USB, principalmente quello che collega la memoria delle unità al bus esterno. Quando nessun jumper è lì, sembra danneggiato. Apri la custodia e aggiungi il jumper, perfettamente funzionante. Non difficile se si dispone di una pistola per saldatura, un coltello (per tagliare il ponte di collegamento), un ponticello a 2 poli (o semplicemente uno per tagliare gli aghi). E un'unità USB in grado di contenere la configurazione.